Версия для печати темы

Нажмите сюда для просмотра этой темы в оригинальном формате

forum.0day.kiev.ua _ Взлом и Защита _ Удаленное выполнение произвольного кода в протоколе RDP

Автор: Console May 14 2019, 22:10

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «


Open in new window

Уязвимость удаленного выполнения кода существует в службах удаленных рабочих столов (ранее они назывались службами терминалов), когда злоумышленник, не прошедший проверку подлинности, подключается к целевой системе с помощью RDP и отправляет специально созданные запросы. Эта уязвимость использует предаутентификацию и не требует взаимодействия с пользователем. Злоумышленник, успешно воспользовавшийся данной уязвимостью, может выполнить произвольный код в целевой системе

Интересным является тот факт, что эту или схожую уязвимость продавали в «даркнете» как минимум с августа прошлого года

Уязвимость настолько серьёзная, что Microsoft выпустила патчи даже для неподдерживаемых версий ОС — Windows XP и Windows 2003

Автор: Koka-ftp May 14 2019, 23:52

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

Автор: Console May 15 2019, 6:58

Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for x64-based Systems Service Pack 1
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for Itanium-Based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

Если я понял правильно, то только на эти платформмы подвержены..

Автор: jerr May 15 2019, 7:44

Уязвимость настолько серьёзная, что Microsoft выпустила патчи даже для неподдерживаемых версий ОС — Windows XP и Windows 2003.


вот патчи на 2003 и xp
https://support.microsoft.com/ru-ru/help/4500705/customer-guidance-for-cve-2019-0708

Автор: Console Aug 13 2019, 23:46

А вот и второй сезон...
_https://habr.com/ru/company/solarsecurity/blog/463591/

Опубликованные RCE-уязвимости в Службах Удаленных рабочих столов RDS в ОС Windows (CVE-2019-1181/1182) при успешной эксплуатации позволяют злоумышленнику, не прошедшему проверку подлинности, осуществить удаленное выполнение кода на атакуемой системе.

Для эксплуатации уязвимостей злоумышленнику достаточно отправить специально сформированный запрос службе удаленных рабочих столов целевых систем, используя RDP (сам протокол RDP при этом не является уязвимым).

Важно отметить, что любое вредоносное ПО, использующее эту уязвимость, потенциально может распространяться с одного уязвимого компьютера на другой аналогично распространению вредоносного ПО WannaCry по всему миру в 2017 году. Для успешной эксплуатации необходимо лишь иметь соответствующий сетевой доступ к хосту или серверу с уязвимой версией операционной системы Windows, в том числе, если системная служба опубликована на периметре.
Список зоны риска:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «


Рекомендации:

Установить необходимые обновления для уязвимых ОС Windows, начиная с узлов на периметре и далее для всей инфраструктуры, согласно принятым в компании процедурам управления уязвимостями:
portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181
portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182
При наличии опубликованного сервиса RDP на внешнем периметре для уязвимой ОС – рассмотреть ограничение (закрытие) доступа до устранения уязвимостей.

На текущий момент нет информации о наличии PoC/эксплоита/эксплуатации данных уязвимостей, однако медлить с патчами не рекомендуем, часто их появление — вопрос нескольких суток.

Возможные дополнительные компенсирующие меры:

Включение проверки подлинности на уровне сети (NLA). Однако уязвимые системы по-прежнему останутся уязвимыми для удаленного выполнения кода (RCE), если у злоумышленника есть действительные учетные данные, которые можно использовать для успешной аутентификации.
Временное выключение протокола RDP для уязвимых версий ОС до момента установки обновлений, использование альтернативных способов удаленного доступа к ресурсам.

Invision Power Board
© Invision Power Services